RU108870U1 - SYSTEM FOR INCREASING THE NUMBER OF DETECTIONS OF MALICIOUS OBJECTS - Google Patents
SYSTEM FOR INCREASING THE NUMBER OF DETECTIONS OF MALICIOUS OBJECTS Download PDFInfo
- Publication number
- RU108870U1 RU108870U1 RU2011111603/08U RU2011111603U RU108870U1 RU 108870 U1 RU108870 U1 RU 108870U1 RU 2011111603/08 U RU2011111603/08 U RU 2011111603/08U RU 2011111603 U RU2011111603 U RU 2011111603U RU 108870 U1 RU108870 U1 RU 108870U1
- Authority
- RU
- Russia
- Prior art keywords
- tool
- virus
- base
- user
- personal computer
- Prior art date
Links
Abstract
1. Система анализа данных, полученных в результате антивирусной проверки, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает: ! а) антивирусное средство, связанное с: ! - базой правил на стороне персонального компьютера пользователя; ! - базой корректирующих коэффициентов на стороне персонального компьютера пользователя; ! - средством обновления на стороне персонального компьютера пользователя; ! - средством обработки запросов на антивирусном сервере; ! при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов; ! б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами: ! - базой правил на стороне персонального компьютера пользователя; ! - базой корректирующих коэффициентов на стороне персонального компьютера пользователя; ! - средством обновления на стороне антивирусного сервера; ! при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством, также упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера; ! в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов; ! г) упомянутую базу корректирующих коэффициентов на стор 1. A system for analyzing data obtained as a result of an anti-virus scan, including an anti-virus server connected to at least one personal computer of the user, while the personal computer of the user includes:! a) antiviral agent associated with:! - a base of rules on the side of the user's personal computer; ! - a base of correction factors on the side of the user's personal computer; ! - update tool on the side of the user's personal computer; ! - a tool for processing requests on an anti-virus server; ! at the same time, the mentioned antivirus tool is designed to check the processes that are called up when objects are launched using the rule base and the base of correction factors; ! b) update tool on the side of the user's personal computer associated with the following tools:! - a base of rules on the side of the user's personal computer; ! - a base of correction factors on the side of the user's personal computer; ! - update tool on the anti-virus server side; ! wherein said updating tool on the side of the user's personal computer is configured to be launched by an anti-virus tool, also said updating tool is intended for updating the rule base and the database of correction factors received from the updating tool on the anti-virus server side; ! c) said rule base on the side of the user's personal computer, containing a set of rules for detecting malicious objects; ! d) the mentioned base of correction factors per side
Description
Область техникиTechnical field
Полезная модель относится к системам увеличения количества обнаружений вредоносных объектов антивирусными системами, которые используют рейтинг процессов для обнаружения вредоносных объектов.The utility model relates to systems for increasing the number of detections of malicious objects by anti-virus systems that use the rating of processes to detect malicious objects.
Уровень техникиState of the art
В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема, связанная с защитой от вредоносных объектов, которые поступают на компьютеры пользователей.In connection with the rapid development of computer technology and computer networks, the problem of protecting against malicious objects that enter users' computers is becoming increasingly large.
В настоящее время применяется множество систем для решения данной проблемы. Антивирусные системы используют разные подходы при выполнении своей работы: сигнатурная проверка, эвристический анализ, поведенческий анализ.Currently, many systems are used to solve this problem. Anti-virus systems use different approaches when doing their job: signature verification, heuristic analysis, behavioral analysis.
Сигнатурный анализ является классическим методом для поиска вирусов и других вредоносных объектов. Суть данного подхода заключается в применении образцов программного кода, полученных при анализе известного вредоносного кода. Образцы носят название сигнатуры. Поиск вирусов происходит в процессе сканирования потенциально опасного программного кода. Если в процессе сканирования встречается код, который совпадает с шаблоном кода сигнатуры, то объект, содержащий такой код, классифицируется как вредоносный. Сигнатурный анализ гарантирует обнаружение вредоносных объектов, которые описаны сигнатурами, но не способен обнаружить неизвестные вирусы.Signature analysis is a classic method for searching for viruses and other malicious objects. The essence of this approach is the use of samples of program code obtained in the analysis of known malicious code. Samples are called signatures. Virus scanning takes place during the scanning process of potentially dangerous program code. If during scanning a code is found that matches the signature code template, then an object containing such code is classified as malicious. Signature analysis ensures the detection of malicious objects that are described by signatures, but are not able to detect unknown viruses.
Эвристический анализ позволяет определить присутствие в данных, способных принести вред, до запуска самого объекта. Поведенческий анализ заключается в слежении за всеми процессами, запущенными различными объектами. При подозрительном поведении процесса, которое определяется в рамках правил, антивирусная система принимает меры защиты. Данный способ обладает недостатком: при поведенческом анализе антивирусная система может пропустить некоторые известные вирусы.Heuristic analysis allows you to determine the presence of harmful data in the data before the launch of the object itself. Behavioral analysis consists in tracking all the processes launched by various objects. In case of suspicious process behavior, which is determined by the rules, the anti-virus system takes protective measures. This method has a drawback: during behavioral analysis, the antivirus system may skip some known viruses.
Современные антивирусные системы успешно используют сразу несколько подходов для повышения эффективности борьбы с вредоносными объектами, пользуясь преимуществами каждого способа и взаимно компенсируя их недостатки.Modern anti-virus systems successfully use several approaches at once to increase the effectiveness of the fight against malicious objects, taking advantage of each method and mutually compensating for their shortcomings.
Система, которая использует технологию, базирующуюся на изучении запускаемых исполняемых файлов и оценке поведения на основании системы правил, описана в патенте US 7530106 и предназначена для обнаружения вирусов и других типов вредоносных объектов, используя рейтинги безопасности компьютерных процессов, рассчитанных по системе правил. Сами правила формируются на основании анализа изученных вредоносных объектов и поведения процессов, связанных с вредоносными объектами. Каждое правило имеет определенную структуру: идентификатор правила, вызываемая API-функция (Application Programming Interface, API - набор готовых классов, функций, структур и констант, предоставляемых операционной системой для использования во внешних программных приложениях), условия для аргументов, оценка опасности. То есть правило сработает в том случае, если процесс вызовет API-функцию с соответствующими параметрами, и в таком случае рейтинг процесса будет увеличен в соответствии с оценкой правила.A system that uses technology based on the study of executable executable files and the assessment of behavior based on a system of rules is described in patent US 7530106 and is designed to detect viruses and other types of malicious objects using security ratings of computer processes calculated according to the rule system. The rules themselves are formed on the basis of the analysis of the studied malicious objects and the behavior of processes associated with malicious objects. Each rule has a specific structure: rule identifier, called API function (Application Programming Interface, API - a set of ready-made classes, functions, structures and constants provided by the operating system for use in external software applications), conditions for arguments, hazard assessment. That is, the rule will work if the process calls an API function with the appropriate parameters, and in this case the process rating will be increased in accordance with the rule’s assessment.
Правила хранятся в обновляемых базах. Поскольку непрерывно появляются новые компьютерные вирусы, система правил должна периодически уточняться, пересматриваться, дополняться.Rules are stored in updated databases. As new computer viruses continuously appear, the system of rules should be periodically updated, reviewed, supplemented.
У любой антивирусной системы есть вероятность возникновения ошибок при работе. Ошибки делятся на так называемые ошибки первого рода и ошибки второго рода. Ошибки первого рода появляются в том случае, если антивирусная система обнаруживает вредоносный объект, хотя на самом деле объект не представляет никакой угрозы. Другими словами возникает ложное срабатывание системы. Ошибки второго рода в отношении антивирусных систем связаны с той ситуацией, когда при наличии вируса или другого вредоносного объекта система его не обнаруживает.Any anti-virus system is likely to cause errors during operation. Errors are divided into so-called errors of the first kind and errors of the second kind. Errors of the first kind appear if the anti-virus system detects a malicious object, although in fact the object does not pose any threat. In other words, a false positive occurs. Errors of the second kind with respect to anti-virus systems are associated with the situation when the system does not detect it in the presence of a virus or other malicious object.
Прежние системы могли допускать как ошибки первого рода, то есть вызывать ложные срабатывания, так и ошибки второго рода, то есть пропускать и не обнаруживать объекты, представляющие опасность для персонального компьютера. Для повышения качества работы антивирусной системы возникает необходимость снижать вероятность появления ошибок первого и второго рода.Previous systems could make both errors of the first kind, that is, cause false positives, and errors of the second kind, that is, skip and not detect objects that are dangerous for a personal computer. To improve the quality of the antivirus system, there is a need to reduce the likelihood of errors of the first and second kind.
Предлагаемая система имеет преимущество по сравнению с запатентованной системой. Она позволяет увеличить количество вредоносных объектов, обнаруженных антивирусной системой. Таким образом, при увеличении количества обнаруженных объектов снизится вероятность появления ошибки второго рода.The proposed system has an advantage over the patented system. It allows you to increase the number of malicious objects detected by the anti-virus system. Thus, with an increase in the number of detected objects, the probability of a second kind of error will decrease.
Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему увеличения количества обнаружений вредоносных объектов антивирусными системами, которые используют рейтинг процессов для обнаружения вредоносных объектов.An analysis of the prior art and the possibilities that arise when combining them in one system allows you to get a new result, namely a system for increasing the number of malware detections by anti-virus systems that use the rating of processes to detect malicious objects.
Сущность полезной моделиUtility Model Essence
Техническим результатом данной полезной модели является увеличение количества обнаружений вредоносных объектов антивирусной системы, что достигается за счет корректировки рейтингов, выставляемых правилами при проведении процесса обнаружения вредоносных объектов, с помощью корректирующих коэффициентов.The technical result of this utility model is to increase the number of detections of malicious objects of the anti-virus system, which is achieved by adjusting the ratings set by the rules during the process of detecting malicious objects using corrective coefficients.
Настоящая полезная модель представляет собой систему анализа данных, полученных в результате антивирусной проверки, включающую антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:This useful model is a system for analyzing data obtained as a result of an anti-virus scan, including an anti-virus server connected to at least one personal computer of the user, while the personal computer of the user includes:
а) антивирусное средство, связанное с:a) an antiviral agent associated with:
- базой правил на стороне персонального компьютера пользователя;- a base of rules on the side of the user's personal computer;
- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;- a base of correction factors on the side of the user's personal computer;
- средством обновления на стороне персонального компьютера пользователя;- update tool on the side of the user's personal computer;
- средством обработки запросов на антивирусном сервере;- a tool for processing requests on an anti-virus server;
при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;at the same time, the mentioned antivirus tool is designed to check the processes that are called up when objects are launched using the rule base and the base of correction factors;
б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:b) update tool on the side of the user's personal computer associated with the following tools:
- базой правил на стороне персонального компьютера пользователя;- a base of rules on the side of the user's personal computer;
- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;- a base of correction factors on the side of the user's personal computer;
- средством обновления на стороне антивирусного сервера;- update tool on the anti-virus server side;
при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством, также упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;wherein said updating tool on the side of the user's personal computer is configured to be launched by an anti-virus tool, also said updating tool is intended for updating the rule base and the database of correction factors received from the updating tool on the anti-virus server side;
в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов;c) said rule base on the side of the user's personal computer, containing a set of rules for detecting malicious objects;
г) упомянутую базу корректирующих коэффициентов на стороне персонального компьютера пользователя, содержащую набор корректирующих коэффициентов для правил из базы правил;d) the said base of correction factors on the side of the user's personal computer, containing a set of correction factors for the rules from the rule base;
при этом антивирусный сервер включает:the anti-virus server includes:
I) средство обработки запросов, связанное со средством хранения данных и со средством формирования оперативных рейтингов, при этом упомянутое средство обработки запросов выполнено с возможностью получения данных от антивирусного средства на компьютере пользователя и на основании полученных данных формирования отчетов;I) a query processing means associated with a data storage means and a means of generating operational ratings, wherein said query processing means is configured to receive data from an anti-virus tool on a user's computer and based on the received reporting data;
II) средство хранения данных, связанное со средством анализа и средством формирования оперативных рейтингов, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства обработки запросов;II) data storage means associated with the analysis tool and the tool for generating operational ratings, wherein said data storage means is intended to store reports received from the request processing means;
III) средство формирования оперативных рейтингов, выполненное с возможностью получения контрольной суммы подозрительного объекта от средства обработки запросов, при этом средство формирования оперативных рейтингов также предназначено для формирования оперативного рейтинга процесса, используя информацию, находящуюся в средстве хранения данных, и отправки его на антивирусное средство на персональном компьютере пользователя;III) a means for generating operational ratings made with the possibility of obtaining a checksum of a suspicious object from the request processing means, while the means for generating operational ratings is also intended to generate an operational rating of the process using the information in the data storage medium and sending it to the anti-virus tool at user's personal computer;
IV) средство анализа, связанное с:Iv) analysis tool associated with:
- средством хранения черного списка;- a means of storing a black list;
- базой корректирующих коэффициентов на стороне антивирусного сервера;- a base of correction factors on the anti-virus server side;
- базой правил на стороне антивирусного сервера;- a rule base on the anti-virus server side;
при этом упомянутое средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов и базы правил на основе проведенного анализа, что позволяет увеличить количество обнаружений вредоносных объектов антивирусной системы;at the same time, the mentioned analysis tool is designed to analyze the data contained in the data storage means, using the checksums in the black list storage tool for analysis, is also intended to form the base of correction factors and the rule base based on the analysis, which allows to increase the number of detections malicious objects of the anti-virus system;
V) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;V) said blacklist storage means containing checksums of known malicious objects;
VI) упомянутую базу правил на стороне антивирусного сервера, содержащую набор правил, обновленных в результате работы средства анализа;VI) the mentioned rule base on the anti-virus server side, containing a set of rules updated as a result of the analysis tool;
VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, содержащую набор корректирующих коэффициентов для правил из упомянутой базы правил, обновленных в результате работы средства анализа;VII) said base of correction coefficients on the anti-virus server side, containing a set of correction coefficients for the rules from the said rule base, updated as a result of the analysis tool;
VIII) средство обновления на стороне антивирусного сервера, связанное с:VIII) anti-virus server-side updater associated with:
- базой правил на стороне антивирусного сервера;- a rule base on the anti-virus server side;
- базой корректирующих коэффициентов на стороне антивирусного сервера;- a base of correction factors on the anti-virus server side;
при этом упомянутое средство обновления на стороне антивирусного сервера выполнено с возможностью отправки новой версии базы правил на стороне антивирусного сервера и базы корректирующих коэффициентов на стороне антивирусного сервера при запросе средства обновления на стороне персонального компьютера пользователя. В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью передачи средству обработки запросов данных, содержащих, по крайней мере, контрольную сумму подозрительного объекта, на котором сработало правило, номер сработавшего правила, рейтинг процесса, выставленный правилом, и общий рейтинг процесса.however, the said update tool on the anti-virus server side is configured to send a new version of the rule base on the anti-virus server side and the correction coefficient database on the anti-virus server side when the update tool is requested on the user's personal computer. In a particular embodiment, the anti-virus tool of the said system is capable of transmitting to the request processing means data containing at least the checksum of the suspicious object on which the rule worked, the rule number that worked, the process rating set by the rule, and the overall process rating.
В частном варианте исполнения проверяемые процессы являются процессами, вызываемыми при запуске объектов в операционной системе персонального компьютера пользователя.In a private embodiment, the processes being checked are processes that are called when objects are launched in the operating system of the user's personal computer.
В частном варианте исполнения подозрительным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, меньший рейтинга опасности, но больший рейтинга безопасности.In a private embodiment, the suspicious object is the object that caused the process to receive a rating that was less than a hazard rating but a higher security rating as a result of an anti-virus scan.
В частном варианте исполнения вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.In a private embodiment, the malicious object is that object that caused the process to receive a rating that is higher than a hazard rating as a result of an anti-virus scan.
В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью использования статического рейтинга при проведении проверки, если не сформирован оперативный рейтинг средством формирования оперативных рейтингов.In a particular embodiment, the anti-virus tool of the said system is configured to use a static rating during the check if an operational rating is not generated by the operational rating generation tool.
В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью определения статического рейтинга по характеристикам объекта проверки, которые, по меньшей мере, включают атрибуты объекта, месторасположение объекта, размер, тип объекта.In a particular embodiment, the anti-virus tool of the said system is configured to determine a static rating from the characteristics of the scan object, which at least include the attributes of the object, the location of the object, size, type of object.
В частном варианте исполнения база корректирующих коэффициентов и база правил упомянутой системы выполнены с возможностью независимого обновления.In a particular embodiment, the base of correction factors and the rule base of the said system are made with the possibility of independent updating.
В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении этого вредоносного объекта.In a private embodiment, the anti-virus tool of the said system is configured to terminate the process caused by a malicious object upon detection of this malicious object.
В частном варианте исполнения упомянутое средство анализа выполнено с возможностью проведения оперативного анализа, в результате которого формируется база корректирующих коэффициентов на стороне антивирусного сервера.In a private embodiment, said analysis tool is configured to perform an on-line analysis, as a result of which a database of correction factors is formed on the anti-virus server side.
В частном варианте исполнения упомянутое средство анализа выполнено с возможностью проведения общего анализа, в результате которого формируется база правил на стороне антивирусного сервера.In a particular embodiment, said analysis tool is configured to perform a general analysis, as a result of which a rule base is formed on the anti-virus server side.
Краткое описание чертежейBrief Description of the Drawings
Сопровождающие чертежи предназначены для лучшего понимания заявленной полезной модели, составляют часть данного описания, иллюстрируют варианты реализации полезной модели и совместно с описанием служат для объяснения принципов полезной модели.The accompanying drawings are intended to better understand the claimed utility model, form part of this description, illustrate embodiments of the utility model, and together with the description serve to explain the principles of the utility model.
Фиг.1 отображает структуру компьютера пользователя, входящего в систему увеличения количества обнаружений вредоносных объектов.Figure 1 displays the structure of the computer of the user entering the system to increase the number of detections of malicious objects.
Фиг.2 иллюстрирует структуру антивирусного сервера системы увеличения количества обнаружений вредоносных объектов.Figure 2 illustrates the structure of the anti-virus server system to increase the number of detections of malicious objects.
Фиг.3 показывает структуру средства хранения данных.Figure 3 shows the structure of the storage medium.
Фиг.4 показывает процесс формирования рейтингов при антивирусной проверке.Figure 4 shows the process of rating formation during anti-virus scanning.
Фиг.5 иллюстрирует алгоритм проведения антивирусной проверки на персональном компьютере пользователя.Figure 5 illustrates the algorithm for anti-virus scanning on a user's personal computer.
Фиг.6 отображает алгоритм работы антивирусного сервера.6 shows the algorithm of the anti-virus server.
Фиг.7 показывает классификацию объектов проверки в зависимости от выставленного рейтинга.Fig.7 shows the classification of the objects of verification depending on the rating.
Фиг.8 показывает пример компьютерной системы общего назначения, на которой может быть реализована данная полезная модель.Fig. 8 shows an example of a general-purpose computer system on which this utility model can be implemented.
Описание вариантов осуществленияDescription of Embodiments
В качестве одного из вариантов осуществления полезной модели рассматривается система, состоящая, по крайней мере, из персонального компьютера пользователя 100 и антивирусного сервера 160.As one of the embodiments of the utility model is considered a system consisting of at least a personal computer of the user 100 and the anti-virus server 160.
На Фиг.1 показана структура компьютера пользователя, входящего в систему увеличения количества обнаружений вредоносных объектов.Figure 1 shows the structure of the computer of the user entering the system to increase the number of detections of malicious objects.
Персональный компьютер пользователя 100 содержит антивирусное средство 110, которое производит поиск вредоносных объектов. В качестве объекта может быть рассмотрен, например, исполняемый файл, при запуске которого происходит запуск процесса в операционной системе. Для обнаружения вредоносных объектов антивирусное средство проводит проверку процессов 140, вызванных объектами. Таким образом, если антивирусное средство определяет процесс как опасный, то объект, запустивший данный процесс является вредоносным. При проведении проверки процессов используется набор правил 132 из базы правил на стороне персонального компьютера пользователя 130. Правила представляют собой набор описаний процессов, которые могут представлять угрозу для компьютера. Все правила хранятся на компьютере пользователя в виде базы правил 130. У каждого правила есть свой номер 131, который присваивается ему на все время использования правила. Номер правила уникален и служит для однозначной идентификации определенного правила.The user's personal computer 100 contains an anti-virus tool 110 that searches for malicious objects. As an object, for example, an executable file can be considered, when launched, the process starts in the operating system. To detect malicious objects, the antivirus tool scans 140 processes caused by objects. Thus, if an anti-virus tool defines a process as dangerous, then the object that launched this process is malicious. When conducting a process check, a set of rules 132 is used from the rule base on the side of the user's personal computer 130. Rules are a set of descriptions of processes that can pose a threat to the computer. All rules are stored on the user's computer in the form of a rule base 130. Each rule has its own number 131, which is assigned to it for the entire time the rule is used. The rule number is unique and serves to uniquely identify a specific rule.
Кроме базы правил на персональном компьютере пользователя хранится база корректирующих коэффициентов на стороне компьютера пользователя 120. Корректирующие коэффициенты также используются антивирусным средством в процессе определения вредоносных объектов. Более подробно процесс определения вредоносных объектов будет рассмотрен при описании Фиг.4. Каждому правилу 132 из базы правил 130 соответствует один коэффициент 122 из базы коэффициентов 120, который имеет номер 121, соответствующий номеру правила 131.In addition to the rule base, the user’s personal computer stores a database of correction factors on the side of the user’s computer 120. Correction factors are also used by the antivirus tool in the process of determining malicious objects. In more detail, the process of determining malicious objects will be discussed in the description of Figure 4. Each rule 132 from the rule base 130 corresponds to one coefficient 122 from the coefficient base 120, which has the number 121 corresponding to the rule 131 number.
База правил и база коэффициентов на стороне компьютера пользователя могут обновляться. Обновление осуществляется с использованием средства обновления на стороне персонального компьютера 150. Антивирусное средство 110 перед началом процесса поиска вредоносных объектов запускает средство обновления, которое связывается со средством обновления на стороне антивирусного сервера 280, передает информацию о версии баз. Средство обновления на стороне антивирусного сервера 280 получает информацию о версии баз и сравнивает с версией доступных баз на антивирусном сервере. Если средство обновления на стороне антивирусного сервера 280 устанавливает, что доступна более новая версия баз, чем та, которая находится на персональном компьютере пользователя, то средство обновления на стороне антивирусного сервера передает новую версию баз средству обновления на стороне персонального компьютера пользователя 150. Средство обновления на стороне персонального компьютера 150 пользователя получает обновленную версию баз и заменяет старые базы. При этом база коэффициентов на стороне компьютера пользователя 120 и база правил на стороне компьютера пользователя 130 обновляются независимо друг от друга.The rule base and the coefficient base on the user's computer side can be updated. The update is carried out using the update tool on the side of the personal computer 150. Antivirus tool 110 before starting the search for malicious objects launches the update tool, which communicates with the update tool on the side of the anti-virus server 280, transmits information about the database version. The updater on the side of the anti-virus server 280 receives information about the version of the databases and compares it with the version of the available databases on the anti-virus server. If the updater on the side of the anti-virus server 280 determines that a newer version of the databases is available than the one located on the user's personal computer, the updater on the side of the anti-virus server transfers the new version of the databases to the updater on the side of the user's personal computer 150. The updater on to the side of the personal computer 150, the user receives an updated version of the databases and replaces the old databases. Moreover, the coefficient base on the computer side of the user 120 and the rule base on the computer side of the user 130 are updated independently of each other.
База коэффициентов 120 имеет размер, много меньший по сравнению с базой правил 130, что позволяет производить частые обновления базы коэффициентов, и использование сетевых ресурсов увеличится не так значительно, как если бы была необходимость частого обновления базы правил. Следовательно, использование механизма раздельного обновления базы коэффициентов и базы правил позволяет сократить использование сетевых ресурсов при частом обновлении базы коэффициентов 120.The base of coefficients 120 has a size much smaller than the base of rules 130, which allows frequent updates of the base of coefficients, and the use of network resources will not increase as much as if there was a need for frequent updates of the base of rules. Therefore, the use of a separate update mechanism for the coefficient base and the rule base allows reducing the use of network resources with frequent updating of the coefficient base 120.
Антивирусное средство 110 связывается с антивирусным сервером 160, если им был обнаружен подозрительный процесс и соответствующий подозрительный объект, вызвавший данный процесс.Anti-virus tool 110 communicates with anti-virus server 160 if it detects a suspicious process and the corresponding suspicious object that caused this process.
Используя один из известных криптографических алгоритмов, таких как MD5, MD4, SHA1, SHA256 или CRC32, антивирусное средство 110 создает контрольную сумму подозрительного объекта, вызвавшего обнаруженный процесс, которая позволяет однозначно идентифицировать объект. Далее антивирусное средство 110 передает контрольную сумму вместе с информацией о сработавшем правиле и выставленном рейтинге антивирусному серверу 160.Using one of the well-known cryptographic algorithms, such as MD5, MD4, SHA1, SHA256 or CRC32, the anti-virus tool 110 creates a checksum of the suspicious object that caused the detected process, which allows you to uniquely identify the object. Next, the anti-virus tool 110 transmits the checksum along with information about the triggered rule and the rated rating to the anti-virus server 160.
Антивирусный сервер получает и накапливает полученную информацию. Также от антивирусного сервера приходит обратный ответ на антивирусное средство 110. Антивирусное средство получает в качестве ответа оперативный рейтинг процесса, который вносит корректирующий вклад в формирование общего рейтинга процесса. Если отсутствует возможность получения оперативного рейтинга процесса, то вместо него антивирусное средство использует статический рейтинг при выявлении вредоносных объектов. Процесс формирования рейтингов описан далее при рассмотрении Фиг.4.The anti-virus server receives and accumulates the received information. The anti-virus tool 110 also receives an opposite response from the anti-virus server. The anti-virus tool receives an operational process rating as a response, which makes a corrective contribution to the formation of the overall process rating. If there is no possibility of obtaining an operational rating of the process, then instead of it the antivirus tool uses a static rating when detecting malicious objects. The process of forming ratings is described further in the discussion of Figure 4.
Если антивирусное средство 110 обнаружило вредоносный объект, то оно прекращает опасный процесс, связанный с данным объектом.If anti-virus tool 110 detects a malicious object, then it terminates the dangerous process associated with this object.
Стоит более подробно остановиться на классификации объектов в зависимости от рейтинга, выставляемого соответствующему процессу, которая поясняется с помощью Фиг.7. Возможны три ситуации: рейтинг процесса оказался меньше порога безопасности 740, в таком случае объект 710 признается безопасным; рейтинг процесса превысил порог безопасности 740, но не достиг порога опасности 750, в данном случае объект 720 рассматривается в качестве подозрительного; рейтинг оказался больше порога опасности 750, и объект 730 признается содержащим угрозу, то есть вредоносным. Порог безопасности устанавливается в зависимости от порога опасности и может составлять, например, 50% от значения порога опасности. Стоит отметить, что пороги фиксированы, а меняются коэффициенты, меняя при этом рейтинг, выставляемый правилом.It is worthwhile to dwell in more detail on the classification of objects depending on the rating set for the corresponding process, which is explained using Fig. 7. Three situations are possible: the process rating turned out to be lower than the security threshold 740, in which case the object 710 is considered safe; the process rating exceeded the safety threshold of 740, but did not reach the hazard threshold of 750, in this case, object 720 is considered as suspicious; the rating turned out to be greater than the danger threshold of 750, and object 730 is recognized as containing a threat, that is, malicious. The safety threshold is set depending on the hazard threshold and may be, for example, 50% of the hazard threshold value. It is worth noting that the thresholds are fixed, but the coefficients change, changing the rating set by the rule.
В описываемой системе анализируются объекты, классифицированные как подозрительные, которые, несмотря на то, что они не достигли рейтинга, соответствующего порогу опасности, могут представлять опасность и являться вредоносными.In the described system, objects classified as suspicious are analyzed, which, despite the fact that they have not reached a rating corresponding to the danger threshold, can be dangerous and harmful.
Антивирусный сервер изображен на Фиг.2. На антивирусный сервер 160 поступает информация обо всех обнаруженных подозрительных объектах с персонального компьютера пользователя 100.The anti-virus server is depicted in Figure 2. The anti-virus server 160 receives information about all detected suspicious objects from the personal computer of the user 100.
Все данные от персонального компьютера 100 отсылаются на средство обработки запросов 210, которое обрабатывает поступающую информацию и помещает ее в средство хранения данных 220. Средство обработки запросов отправляет контрольную сумму объекта средству формирования оперативного рейтинга 270.All data from the personal computer 100 is sent to the request processing means 210, which processes the incoming information and places it in the data storage means 220. The request processing means sends the checksum of the object to the operational rating generation tool 270.
Средство хранения данных 220 представляет собой базу данных. Более детально средство хранения данных показано на Фиг.3. Данные в средстве хранения данных структурированы в виде таблицы. Каждая строка содержит информацию об обнаруженном объекте. Средство хранения данных содержит информацию, полученную от антивирусного средства, которая состоит, по крайней мере, из контрольной суммы подозрительного объекта 221, рейтинга процесса 222, номеров сработавших правил 223 и выставленных каждым правилом рейтингов 224.The storage medium 220 is a database. In more detail, the data storage means is shown in FIG. 3. The data in the data storage means is structured in a table. Each line contains information about the detected object. The data storage medium contains information received from an anti-virus tool, which consists of at least a checksum of a suspicious object 221, process rating 222, numbers of triggered rules 223 and ratings 224 set by each rule.
Средство анализа 230 обрабатывает накопленные данные, полученные от антивирусного средства и находящиеся в средстве хранения данных. При обработке проводится поиск вредоносных объектов по контрольным суммам 221. При этом используется средство хранения черного списка 240, в котором хранятся контрольные суммы вредоносных объектов. Средство анализа 230 ищет те контрольные суммы, которые находятся и в средстве хранения данных 220, и в средстве хранения черного списка. Если контрольная сумма находится в средстве хранения данных и в средстве хранения черного списка контрольных сумм, то подозрительный объект с такой контрольной суммой является вредоносным. В таком случае возникает ошибка второго рода, поскольку данный объект не был признан антивирусным средством в качестве вредоносного объекта. Предлагаемая система позволяет снизить ошибки второго рода при антивирусной проверке, таким образом, повысив количество обнаружений вредоносных объектов.Analysis tool 230 processes the accumulated data received from the anti-virus tool and stored in the data storage tool. During processing, a search is carried out for malicious objects by checksums 221. In this case, a blacklist storage facility 240 is used, in which checksums of malicious objects are stored. The analysis tool 230 searches for those checksums that are located in both the data storage tool 220 and the blacklist storage tool. If the checksum is in the storage medium and in the checksum blacklist storage facility, then a suspicious object with such a checksum is malicious. In this case, a second kind of error occurs, since this object was not recognized by the antivirus tool as a malicious object. The proposed system allows to reduce errors of the second kind during anti-virus scanning, thus increasing the number of detections of malicious objects.
После того, как контрольные суммы подозрительных объектов найдены в черном списке, и соответствующие объекты признаны вредоносными, средство анализа 230 проводит анализ правил, которые сработали при антивирусной проверке данных объектов. В ходе анализа устанавливаются номера сработавших правил 223, учитывается общий рейтинг процесса 222, связанного с объектом, который показывает, сколько недобрал рейтинг процесса до порогового значения, также учитывается рейтинг 224, выставленный каждым правилом при формировании общего рейтинга.After the checksums of suspicious objects are found in the black list and the corresponding objects are recognized as malicious, the analysis tool 230 analyzes the rules that worked during the anti-virus scan of these objects. The analysis establishes the numbers of triggered rules 223, takes into account the overall rating of the process 222 associated with the object, which shows how much the process rating has not reached the threshold value, and also takes into account the rating 224 set by each rule in the formation of the overall rating.
Работу средства анализа 230 можно разделить на две стадии: проведение оперативного анализа полученных данных об объектах и проведение общего анализа. Оперативный анализ производится периодично, и исследуются данные, накопленные за небольшой временной интервал, например, несколько часов.The work of analysis tool 230 can be divided into two stages: conducting an operational analysis of the obtained data on objects and conducting a general analysis. Operational analysis is performed periodically, and the data accumulated over a short time interval, for example, several hours, is examined.
В результате оперативного анализа формируется база корректирующих коэффициентов на стороне антивирусного сервера 250 для правил, которые сработали на вредоносных объектах. В базу входят только коэффициенты, отличные от единицы, что позволяет уменьшить размер базы. Таким образом, базу можно представить в виде номеров правил 251 и корректирующих коэффициентов для них 252. После формирования базы корректирующих коэффициентов на стороне антивирусного сервера 250, база доступна персональным компьютерам пользователей для обновления. В окончательном виде база имеет небольшой размер порядка 500 байт, что облегчает процесс частого обновления базы. С помощью корректирующих коэффициентов вклад в формирование рейтинга процесса изменяется. При последующих антивирусных проверках объекты, которые ранее обнаруживались в качестве подозрительных, будут обнаруживаться антивирусным средством 110 как вредоносные.As a result of the operational analysis, a database of correction factors is formed on the side of the anti-virus server 250 for the rules that worked on malicious objects. The base includes only coefficients other than unity, which allows to reduce the size of the base. Thus, the database can be represented in the form of rule numbers 251 and correction factors for them 252. After the formation of the correction factors database on the side of the anti-virus server 250, the database is available for personal computers of users for updating. In its final form, the database has a small size of about 500 bytes, which facilitates the process of frequent updating the database. Using corrective coefficients, the contribution to the process rating formation is changing. Subsequent antivirus scans of objects that were previously detected as suspicious will be detected by antivirus tool 110 as malicious.
Общий анализ данных производится реже, чем оперативный анализ. При проведении общего анализа средство анализа 230 производит обработку данных, собранных за определенный период времени, например, за неделю. В результате общего анализа средство анализа формирует базу правил на стороне антивирусного сервера 260. База правил содержит в себе номера правил 261 и измененные правила 262, которые вносили вклад в формирование рейтинга вредоносных объектов. Изменению подвергается базовый коэффициент, который непосредственно влияет на выставленный правилом рейтинг при обнаружении вредоносных объектов. Изменения могут коснуться также самой структуры правила, в этом случае необходимо привлечение эксперта, данная процедура проводится в полуавтоматическом режиме.General data analysis is less common than operational analysis. When conducting a general analysis, the analysis tool 230 processes the data collected over a specific period of time, for example, a week. As a result of the general analysis, the analysis tool forms the rule base on the side of the anti-virus server 260. The rule base contains the rule numbers 261 and the changed rules 262, which contributed to the rating of malicious objects. The base coefficient is changed, which directly affects the rating set by the rule when malicious objects are detected. Changes may also affect the structure of the rule itself, in which case it is necessary to involve an expert, this procedure is carried out in a semi-automatic mode.
После того, как база правил на стороне антивирусного сервера 260 сформирована, средство анализа 230 производит сброс корректирующих коэффициентов, присваивая измененным правилам единичный коэффициент. Таким образом, корректирующий коэффициент для измененных правил равен единице, он может быть скорректирован по результатам работы измененных правил с помощью базы корректирующих коэффициентов. После формирования базы правил, она доступна персональным компьютерам пользователей для обновления.After the rule base on the side of the anti-virus server 260 is formed, the analysis tool 230 resets the correction factors, assigning a single coefficient to the changed rules. Thus, the correction coefficient for the changed rules is equal to one, it can be adjusted according to the results of the changed rules using the database of correction factors. After the formation of the rule base, it is available to users' personal computers for updating.
Обновление баз производится с участием средства обновления на стороне антивирусного сервера 280, которое получает запрос от персонального компьютера пользователя и в том случае, если базы на персональном компьютере пользователя устарели, отправляет новую версию баз на персональный компьютер.The databases are updated with the help of the updating tool on the side of the anti-virus server 280, which receives a request from the user's personal computer and, if the databases on the user's personal computer are out of date, sends a new version of the databases to the personal computer.
В частном варианте реализации сброс корректирующих коэффициентов может не производиться средством анализа 230. Обновление базы корректирующих коэффициентов проводится часто, что позволит автоматически в кратчайшие сроки скорректировать коэффициенты по результатам работы измененных правил.In a particular embodiment, the correction coefficients may not be reset using analysis tool 230. Updating the base of correction coefficients is often carried out, which will automatically correct the coefficients according to the results of the changed rules as soon as possible.
При отсутствии связи с антивирусным сервером 160, антивирусное средство способно производить антивирусную проверку, используя доступную базу корректирующих коэффициентов и базу правил, которые хранятся на персональном компьютере пользователя. Если по каким - либо причинам база корректирующих коэффициентов и база правил не может быть обновлена компьютером пользователя, то антивирусное средство использует последнюю загруженную версию баз.In the absence of communication with the anti-virus server 160, the anti-virus tool is able to perform anti-virus scanning using the available base of correction factors and the rule base, which are stored on the user's personal computer. If for some reason the base of correction factors and the rule base cannot be updated by the user's computer, then the antivirus tool uses the latest downloaded version of the databases.
Средство формирования оперативного рейтинга 270 получает контрольную сумму объекта от средства обработки запросов. Получив контрольную сумму, средство формирования оперативного рейтинга проводит поиск аналогичных контрольных сумм в средстве хранения данных 220, после чего отправляет ответ антивирусному средству, содержащий усредненный рейтинг для данного объекта. Антивирусное средство 110 получает ответ от средства формирования оперативного рейтинга и использует оперативный рейтинг вместо статического рейтинга при формировании общего рейтинга процесса, вызванного проверяемым объектом.The operational rating generation tool 270 receives a checksum of the object from the query processing facility. Having received the checksum, the operational rating generation tool searches for similar checksums in the data storage tool 220, and then sends a response to the anti-virus tool containing the average rating for this object. Anti-virus tool 110 receives a response from the means of forming an operational rating and uses the operational rating instead of a static rating when generating the overall rating of the process caused by the object being checked.
Если антивирусное средство не имеет возможности получить оперативный рейтинг, то при антивирусном анализе объектов используется статический рейтинг, который формируется антивирусным средством 110 без участия антивирусного сервера 160. Такая ситуация возможна, например, из-за отсутствия данных об интересующем объекте в средстве хранения данных. Более детально процесс формирования общего рейтинга процесса при проведении антивирусной проверки будет описан при рассмотрении Фиг.4.If the anti-virus tool does not have the ability to obtain an operational rating, then the anti-virus analysis of objects uses a static rating, which is generated by the anti-virus tool 110 without the participation of the anti-virus server 160. Such a situation is possible, for example, due to the lack of data about the object of interest in the data storage tool. In more detail, the process of forming the overall rating of the process during the anti-virus scan will be described when considering Figure 4.
На Фиг.4 показан процесс формирования рейтингов при антивирусной проверке. Антивирусная проверка производится антивирусным средством 110 на компьютере пользователя. Антивирусное средство проверяет запущенные процессы, чтобы установить уровень их опасности и сделать вывод о том, являются ли объекты, запустившие процессы, вредоносными. В процессе проверки используется база правил 130 и база коэффициентов 120 на стороне персонального компьютера пользователя. При анализе процесса могут сработать несколько правил 401-403. Каждое правило имеет базовый коэффициент pi (i=1…n, где n - номер последнего правила), который может измениться только при изменении самого правила после обновления базы правил. Базовый коэффициент, заложенный в правило, влияет на выставляемый правилом рейтинг. Однако база правил 130 обновляется реже чем база корректирующих коэффициентов 120. При формировании итогового рейтинга учитываются также корректирующие коэффициенты 404-406, которые помогают оперативно изменить рейтинг конкретного правила. На общий рейтинг влияет также статический рейтинг 408. Статический рейтинг определяется антивирусным средством 110 при первичном анализе характеристик объекта. Учитываются такие характеристики объекта, как атрибуты объекта, месторасположение объекта, его размер, тип объекта и т.д.Figure 4 shows the process of rating formation during anti-virus scanning. Anti-virus scan is performed by anti-virus tool 110 on a user's computer. The anti-virus tool checks running processes in order to establish their level of danger and conclude that the objects that launched the processes are malicious. In the verification process, the rule base 130 and the coefficient base 120 are used on the side of the user's personal computer. When analyzing a process, several rules 401-403 may work. Each rule has a base coefficient p i (i = 1 ... n, where n is the number of the last rule), which can change only when the rule itself changes after updating the rule base. The base coefficient laid down in the rule affects the rating set by the rule. However, the rule base 130 is updated less frequently than the base of the correction factors 120. When forming the final rating, the correction factors 404-406 are also taken into account, which help to quickly change the rating of a particular rule. The overall rating is also affected by a static rating of 408. A static rating is determined by the antivirus tool 110 during the initial analysis of the characteristics of an object. Such characteristics of the object as the attributes of the object, the location of the object, its size, type of object, etc. are taken into account.
В одном из вариантов воплощения системы вместо статического рейтинга 408 используется оперативный рейтинг 409, получаемый от антивирусного сервера. Оперативный рейтинг дает более общее представление об угрозе, которую может представлять исследуемый объект, поскольку оперативный рейтинг формируется на основе данных об объекте, полученных от антивирусных средств, находящихся на различных персональных компьютерах. Использование оперативного рейтинга при антивирусной проверке является более эффективным, поэтому при наличии возможности применяется оперативный рейтинг, а статический рейтинг уже не учитывается.In one embodiment of the system, instead of a static rating of 408, an operational rating of 409 is used, obtained from the anti-virus server. The operational rating gives a more general idea of the threat that the object under investigation may pose, since the operational rating is formed on the basis of data on the object received from anti-virus tools located on various personal computers. Using the online rating for anti-virus scanning is more effective, therefore, if possible, an online rating is applied, and a static rating is no longer taken into account.
Для одного процесса может сработать сразу несколько правил. Каждое правило дает вклад в формирование конечного вывода о том, является ли данный процесс опасным. Вклад от каждого правила складывается из двух составляющих: базового коэффициента р и корректирующего коэффициента k. После вклады от каждого правила суммируются и в совокупности со статическим рейтингом 408 или оперативным рейтингом 409 образуют общий рейтинг процесса 407. Если общий рейтинг превышает пороговое значение 750, то процесс признается опасным, а соответствующий объект - вредоносным. Если пороговое значение 740 не достигается, то объект признается безопасным. Если порог 750 не превышен, но рейтинг процесса превышает порог 740, то объект считается подозрительным.For one process several rules can work at once. Each rule contributes to the final conclusion about whether the process is dangerous. The contribution from each rule consists of two components: the base coefficient p and the correction coefficient k. After the contributions from each rule are summarized, and together with a static rating of 408 or an operational rating of 409, they form the overall rating of the process 407. If the overall rating exceeds the threshold value of 750, the process is considered dangerous, and the corresponding object is malicious. If the threshold value 740 is not reached, then the object is considered safe. If the threshold 750 is not exceeded, but the rating of the process exceeds the threshold 740, then the object is considered suspicious.
С помощью корректировочных коэффициентов 404-406 меняется рейтинг, выставляемый правилом, поэтому, если правило часто срабатывает на вредоносных объектах, которые не добирают рейтинг до порогового значения, то его коэффициент можно повысить, и, следовательно, вклад от такого правила увеличится. Такое правило будет давать больший вклад в конечный рейтинг процесса 407. В результате количество обнаруженных вредоносных объектов будет увеличено за счет объектов, которые ранее не добирали рейтинг и обнаруживались антивирусным средством в качестве подозрительных.Using the correction factors 404-406, the rating set by the rule is changed, therefore, if the rule is often triggered by malicious objects that do not reach the threshold value, then its coefficient can be increased, and therefore, the contribution from such a rule will increase. Such a rule will make a greater contribution to the final rating of process 407. As a result, the number of detected malicious objects will be increased due to objects that did not get the rating earlier and were detected as suspicious by an antivirus tool.
Количество обнаруженных вредоносных объектов увеличится также при обновлении базы правил, когда изменяется базовый коэффициент или структура правила. В этом случае выставляемый правилом рейтинг р будет скорректирован так, чтобы правило давало больший вклад при срабатывании на вредоносных объектах.The number of detected malicious objects will also increase when updating the rule base, when the base coefficient or rule structure changes. In this case, the rating p set by the rule will be adjusted so that the rule makes a greater contribution when triggered by malicious objects.
На Фиг.5 изображен алгоритм проведения антивирусной проверки на персональном компьютере пользователя.Figure 5 shows the algorithm for conducting antivirus scans on a user's personal computer.
На этапе 501 происходит обновление базы коэффициентов 120 и базы правил 130. Обновление производится с помощью средства обновления на стороне персонального компьютера 150 и средства обновления со стороны антивирусного сервера 280. Средство обновления на стороне персонального компьютера 150 передает на антивирусный сервер версию текущих баз, в ответ средство обновления на стороне антивирусного сервера передает новые версии баз 250 и 260, если они доступны. Средство обновления на стороне персонального компьютера 150 обновляет базу коэффициентов 120 и базу правил 130 соответственно. После обновления баз запускается процесс на шаге 502, и антивирусное средство 110 формирует общий рейтинг безопасности на основе базы правил, базы коэффициентов, а также статического или оперативного рейтинга на этапе 503. Рейтинг безопасности необходим для получения вывода о том, является ли объект, вызвавший исследуемый процесс, вредоносным. После того, как рейтинг сформирован, на этапе 504 проводится проверка превышения порога безопасности 740 имеющимся рейтингом. Если рейтинг превысил пороговое значение 740, то антивирусное средство 110 на этапе 505 отправляет данные об объекте, вызвавшем процесс, о сработавших правилах и выставленных ими рейтингах, а также общий рейтинг для данного процесса на антивирусный сервер 160. Далее на шаге 506 проверяется, превышено ли пороговое значение 750. Процесс блокируется на шаге 507, если порог 750 превышен.At step 501, the coefficient base 120 and the rule base 130 are updated. The update is performed using the update tool on the side of the personal computer 150 and the update tool on the side of the anti-virus server 280. The update tool on the side of personal computer 150 sends the version of the current databases to the anti-virus server, in response the update tool on the anti-virus server side transfers new versions of the databases 250 and 260, if available. The updater on the side of the personal computer 150 updates the base of coefficients 120 and the base of rules 130, respectively. After updating the databases, the process starts at step 502, and the antivirus tool 110 generates a general security rating based on the rule base, coefficient base, and a static or operational rating at step 503. A security rating is necessary to obtain a conclusion about whether the object that caused the test the process is malicious. After the rating is formed, at step 504, a check is made that the security threshold 740 is exceeded by the existing rating. If the rating exceeded the threshold value of 740, then at step 505, the anti-virus tool 110 sends information about the object that caused the process, the rules that worked and the ratings they set, as well as the overall rating for this process to the anti-virus server 160. Next, at step 506, it is checked whether threshold value 750. The process blocks at step 507 if threshold 750 is exceeded.
Если полученный общий рейтинг процесса не превысил пороговое значение 740, то антивирусное средство позволяет продолжить выполнение процесса 508, при этом производится обновление общего рейтинга и сравнение его с пороговым значением.If the obtained overall process rating does not exceed the threshold value of 740, then the antivirus tool allows you to continue the process 508, while the overall rating is updated and compared with the threshold value.
На Фиг.6 показан алгоритм работы антивирусного сервера.Figure 6 shows the algorithm of the anti-virus server.
На этапе 601 антивирусный сервер получает данные об обнаруженных объектах от антивирусного средства 110. На шаге 602 полученные данные обрабатываются и структурируются в виде, удобном для хранения и дальнейшего анализа в средстве хранения данных 220. Обработанные данные накапливаются в средстве хранения данных на шаге 603. С небольшой периодичностью, например, один раз в несколько часов, средство анализа проводит оперативный анализ накопленных данных на шаге 604, после этого формируется база корректирующих коэффициентов на шаге 605.At step 601, the anti-virus server receives data about the detected objects from the anti-virus tool 110. At step 602, the received data is processed and structured in a form convenient for storage and further analysis in the storage medium 220. The processed data is accumulated in the storage medium in step 603. C a small periodicity, for example, once every few hours, the analysis tool performs an operational analysis of the accumulated data at step 604, after which a database of correction factors at step 605 is formed.
Средство анализа 230 на этапе 606 проводит общий анализ данных о срабатываниях, накопленных за большой промежуток времени, например, за неделю. В результате общего анализа данных формируется база правил на шаге 607. На шаге 605 средство анализа данных производит сброс корректирующих коэффициентов для измененных правил и обновляет базу корректирующих коэффициентов. После этого база корректирующих коэффициентов и база правил доступны для загрузки и обновления.The analysis tool 230 at step 606 performs a general analysis of the data on the responses accumulated over a long period of time, for example, a week. As a result of the general data analysis, a rule base is formed at step 607. At step 605, the data analysis tool resets the correction factors for the changed rules and updates the database of correction factors. After that, the base of correction factors and the rule base are available for download and update.
На шаге 608 средство формирования оперативного рейтинга 270 получает от средства обработки запросов 210 контрольную сумму объекта.At step 608, the operational rating generation tool 270 obtains a checksum from the query processing engine 210.
По контрольной сумме формируется оперативный рейтинг, который отсылается антивирусному средству на компьютер пользователя на шаге 609.An operational rating is generated by the checksum, which is sent to the antivirus tool on the user's computer at step 609.
В результате работы системы проводится сбор данных об обнаруженных вредоносных объектах, сработавших правилах и выставленных рейтингах, поступающих от компьютера пользователя. Проводится подготовка баз корректирующих коэффициентов и правил на основе этих данных для тех правил, которые срабатывали на вредоносных объектах. За счет применения базы корректирующих коэффициентов, а также за счет изменения правил, достигается увеличение количества обнаружений объектов, содержащих вредоносные данные, при антивирусной проверке.As a result of the system’s work, data is collected on detected malicious objects, triggered rules and set ratings coming from the user's computer. The bases for correcting coefficients and rules are being prepared based on these data for those rules that worked on malicious objects. Due to the application of the database of correction factors, as well as due to changes in the rules, an increase in the number of detections of objects containing malicious data is achieved during anti-virus scanning.
Фиг.8 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS), содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.Fig. 8 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented like any bus structure known in the art, which in turn contains a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS), contains the basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating system using ROM 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the magnetic disk drive interface 33 and the optical drive interface 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.).The present description discloses an implementation of a system that uses a hard disk, a removable magnetic disk 29 and a removable optical disk 31, but it should be understood that other types of computer storage media are possible that can store data in a form readable by a computer (solid state drives, flash cards memory, digital disks, random access memory (RAM), etc.).
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонки, принтер и т.п.Computer 20 has a file system 36 where the recorded operating system 35 and additional software applications 37, other software modules 38 and program data 39 are stored. The user is able to enter commands and information into the personal computer 20 via input devices (keyboard 40, mouse pad) 42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer can be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. .
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.8. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature personal computer 20 shown in Fig. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes may also be present on the computer network.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52. Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 51 через сетевой адаптер или сетевой интерфейс 53. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными, и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 51 and wide area network (WAN) 52. Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 51 via a network adapter or network interface 53. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network 52, such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.
Следует отметить, что приведенные в описании примеры являются поясняющими и не предназначены для ограничения объема и сущности заявленной полезной модели, которые установлены в прилагаемой формуле.It should be noted that the examples given in the description are explanatory and are not intended to limit the scope and essence of the claimed utility model, which are established in the attached formula.
Claims (11)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011111603/08U RU108870U1 (en) | 2011-03-28 | 2011-03-28 | SYSTEM FOR INCREASING THE NUMBER OF DETECTIONS OF MALICIOUS OBJECTS |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011111603/08U RU108870U1 (en) | 2011-03-28 | 2011-03-28 | SYSTEM FOR INCREASING THE NUMBER OF DETECTIONS OF MALICIOUS OBJECTS |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU108870U1 true RU108870U1 (en) | 2011-09-27 |
Family
ID=44804467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2011111603/08U RU108870U1 (en) | 2011-03-28 | 2011-03-28 | SYSTEM FOR INCREASING THE NUMBER OF DETECTIONS OF MALICIOUS OBJECTS |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU108870U1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2485577C1 (en) * | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Method of increasing reliability of detecting malicious software |
-
2011
- 2011-03-28 RU RU2011111603/08U patent/RU108870U1/en active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2485577C1 (en) * | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Method of increasing reliability of detecting malicious software |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
| EP2469445B1 (en) | Optimization of anti-malware processing by automated correction of detection rules | |
| US7640589B1 (en) | Detection and minimization of false positives in anti-malware processing | |
| EP2452287B1 (en) | Anti-virus scanning | |
| RU2514140C1 (en) | System and method for improving quality of detecting malicious objects using rules and priorities | |
| RU2487405C1 (en) | System and method for correcting antivirus records | |
| RU2536664C2 (en) | System and method for automatic modification of antivirus database | |
| RU2487406C1 (en) | System and method of detecting malicious entities distributed over peer-to-peer networks | |
| JP2019106216A (en) | Methods and apparatus for dealing with malware | |
| JP6353498B2 (en) | System and method for generating an antivirus record set for detecting malware on user equipment | |
| RU2739865C2 (en) | System and method of detecting a malicious file | |
| RU2677361C1 (en) | Method and system of decentralized identification of malware programs | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| US8656494B2 (en) | System and method for optimization of antivirus processing of disk files | |
| RU2701842C1 (en) | Method of generating a request for information on a file for performing antivirus checking and a system for realizing the method (versions) | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| WO2019134224A1 (en) | Network threat management method and device, computer device and storage medium | |
| RU2726878C1 (en) | Method for faster full antivirus scanning of files on mobile device | |
| US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| RU2614929C1 (en) | Method for anti-virus records transmission used to detect malicious files | |
| RU107615U1 (en) | SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM | |
| RU108870U1 (en) | SYSTEM FOR INCREASING THE NUMBER OF DETECTIONS OF MALICIOUS OBJECTS | |
| RU2750628C2 (en) | System and method for determining the file trust level | |
| RU2665909C1 (en) | Method of selective use of patterns of dangerous program behavior | |
| RU101224U1 (en) | SYSTEM OF IDENTIFICATION AND MINIMIZATION OF RISK OF FALSE WORKS |